Bulletins

Les serveurs Windows RDP sont exploités pour des attaques DDoS

bs1.jpg

L’entreprise spécialisée en sécurité Netscout a publié une alerte indiquant que des groupes de pirates exploitent les systèmes RDP (Windows Remote Desktop Protocol) afin de faire rebondir et amplifier le trafic malveillant dans le cadre d’attaques DDoS. L’ensemble des serveurs RDP ne sont pas concernés, et uniquement les systèmes où l’authentification RDP est activée sur le port UDP 3389 en plus du port TCP 3389 standard sont ciblés.

Netscout a expliqué que les pirates pouvaient envoyer des paquets UDP modifiés vers les ports UDP des serveurs RDP : ces derniers seront amplifiés et renvoyés vers la cible d’une attaque DDoS, générant un trafic indésirable frappant le système de la cible. Ceci est appelé par les chercheurs en sécurité un facteur d’amplification DDoS. Cela permet aux pirates ayant accès à des ressources limitées de lancer des attaques DDoS à grande échelle en amplifiant le trafic indésirable via des systèmes exposés sur le net.

Netscout a ajouté que les pirates ont aussi appris l’existence d’un récent vecteur et ne vont pas s’empêcher de le mettre à profit. Selon les chercheurs : « Comme c'est souvent le cas avec les nouveaux vecteurs d'amplification DDoS, il semble qu'après une période initiale où cette technique était utilisée par des attaquants avancés ayant accès à des infrastructures d'attaque DDoS sur mesure, les attaques exploitant RDP ont été ajoutées aux services de DDoS à la demande, ce qui la met à la portée de la population générale des attaquants ».

L’entreprise exige aux administrateurs de systèmes gérant des serveurs RDP exposés sur internet de mettre les systèmes hors ligne, d’activer l’authentification seulement sur le port TCP équivalent ou de placer les serveurs RDP derrière des VPN pour limiter le nombre d’individus pouvant interagir avec les systèmes défaillants. Jusqu’à maintenant, Netscout a repéré plus de 14 000 serveurs RDP exposés en ligne et utilisant le port UDP 3389.